Betrugsmasche CEO-Fraud
Wie Betrüger sich als Chef ausgeben
Durch die Betrugsmasche »CEO-Fraud« entsteht der deutschen Wirtschaft alljährlich ein Schaden von mehreren Millionen Euro. Die Täter bringen ahnungslose Mitarbeiter dazu, Geld auf ausländische Konten zu überweisen oder Daten herauszugeben. Wie können sich Unternehmen schützen?
Wie sich Unternehmen vor CEO-Fraud schützen können, erklärt Johannes Strümpfel, Deputy Head of Security bei Siemens und Vorstand des Bayerischen Verbands für Sicherheit in der Wirtschaft e.V. (BVSW).
Markt&Technik: Herr Strümpfel, wird der Betrug entdeckt, haben die Kriminellen oft schon längst alle Spuren verwischt. Wie gehen Kriminelle beim CEO-Fraud vor?
Johannes Strümpfel: Sie spiegeln Mitarbeitern falsche Tatsachen vor, wie beispielsweise eine dringende Vorstandsanweisung und versuchen so, geheime Dokumente zu erhalten oder eine finanzielle Transaktion zu veranlassen. Dabei setzen sie darauf, dass Mitarbeiter unter hohem Zeit- und Autoritätsdruck gegebene Anweisungen »von ganz oben« oft nicht ausreichend überprüfen. Im erweiterten Sinne fallen darunter auch Social Engineering-Anrufe, bei denen ein vermeintlicher IT-Administrator versucht, z.B. an Account-Daten oder andere vertrauliche Daten heranzukommen.
Wie finden die Kriminellen ihre Opfer, ahnungslose Mitarbeiter?
Das ist nicht besonders schwierig in einer Zeit, in der Xing- und LinkedIn-Accounts im beruflichen Umfeld selbstverständlich sind. Angreifer suchen beispielsweise nach Job-Titeln wie »Vorstandssekretärin«, »Leiter/in Accounting«, »Buchhaltung« oder »Geschäftsführer Region xy« und fragen sich geschickt zu den richtigen Personen durch. Ein erfolgreicher CEO-Fraud erfordert aber auch Kenntnisse über Abläufe im Zahlungsverkehr sowie über die internen Kontrollsysteme einer Firma. Auch diese Infos lassen sich per Social Engineering ermitteln, falls sie nicht sogar in offenen Quellen stehen.
CEO-Frauds ziehen sich oft über Monate. Wie kann es sein, dass niemand Verdacht schöpft?
Je besser die Angreifer vorbereitet sind, desto größer sind die Erfolgsaussichten. 2016 wurde ein Autozulieferer mit fingierten E-Mails und Zahlungsanweisungen um 40 Millionen Euro betrogen. Gegenüber Mitarbeitern ausländischer Gesellschaften dieser Firma hatten sich die Täter mit falschen Daten und Identitäten als hochrangige Manager ausgegeben. Bedingt durch den hohen erzeugten Zeitdruck blieb kaum Zeit für eine adäquate Reaktion. Professionelle Angreifer rechnen mit Verifizierungsmaßnahmen und haben entsprechende Antworten parat, um ggf. bestehende Verdachtsmomente zu zerstreuen.
Wie können sich Unternehmen schützen?
Unternehmen sollten Abläufe im Zahlungsverkehr sowie das eigene Kontrollsystem überprüfen und geeignete Sicherheitsmaßnahmen implementieren, z.B. ein Vier-Augen-Prinzip bei Zahlungen. Ganz wichtig sind Schulungen für die Mitarbeiter, um sie für das Thema zu sensibilisieren. Auch die Firmenkultur hat Einfluss: Ein Umfeld, das Mitarbeiter ermutigt bis zur Vorstandsebene Verifizierungs- bzw. Authentifizierung-Prozesse anzustoßen, verringert die Erfolgschancen für Angreifer. Unklar definierte oder mangelhaft kommunizierte Prüfprozesse sowie der laxe Umgang mit Fehlverhalten erleichtern Tätern die Arbeit.
Jobangebote+ passend zum Thema
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
